Digital Law
- 30 เม.ย. 64
-
76933
-
ลายมือชื่อดิจิทัลและลายมือชื่ออิเล็กทรอนิกส์ เรื่องเดียวกันมั้ย? ต้องเซ็นยังไง?
การลงลายมือชื่อทางอิเล็กทรอนิกส์มีผลทางกฎหมายมานานแล้ว ผู้ประกอบการสามารถออกใบกำกับภาษี แบบไม่ต้องใช้กระดาษเลย ที่เรียกว่า e-Tax Invoice โดยใช้ลายมือชื่อดิจิทัล การพิมพ์ชื่อในอีเมล ไม่ว่าจะเป็นชื่อและนามสกุล ชื่อ ชื่อย่อ หรือชื่อเล่น ต่อท้ายข้อความของอีเมล ก็ถือเป็นการลงลายมือชื่ออิเล็กทรอนิกส์ ไปจนถึงการพิมพ์ข้อความสั่งซื้อของทางแช็ต ที่เรามีการล็อกอินผ่าน username และ password ที่เป็นของเรา นั่นแปลว่า มีการลงลายมือชื่อของเราผ่านทางอิเล็กทรอนิกส์ ว่าเราตกลงซื้อสินค้าแล้ว
2 คำสำคัญข้างต้น คือ "ลายมือชื่ออิเล็กทรอนิกส์" และ "ลายมือชื่อดิจิทัล" เราจะรู้ได้อย่างไร ว่ามันเหมือนกันไหม ถ้าไม่เหมือนกันแล้ว มันต่างกันอย่างไร มาค่อย ๆ ทำความเข้าใจกัน
ลายมือชื่ออิเล็กทรอนิกส์ ตามกฎหมายธุรกรรมทางอิเล็กทรอนิกส์
เริ่มต้นที่ ลายมือชื่ออิเล็กทรอนิกส์ (Electronic Signature หรือ e-Signature) ซึ่งไม่ได้หมายถึงแค่ การเซ็นชื่อลงบนอุปกรณ์อิเล็กทรอนิกส์เท่านั้น พ.ร.บ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ฯ ที่ รองรับการลงลายมือชื่ออิเล็กทรอนิกส์ให้มีผลทางกฎหมาย เช่นเดียวกับการลงลายมือชื่อบนเอกสารกระดาษ ได้นิยามความหมายของ ลายมือชื่ออิเล็กทรอนิกส์ ไว้ว่าคือ
อักษร อักขระ ตัวเลข เสียงหรือสัญลักษณ์อื่นใด ที่สร้างขึ้นให้อยู่ในรูปแบบอิเล็กทรอนิกส์ซึ่งนำมาใช้ประกอบกับข้อมูลอิเล็กทรอนิกส์ เพื่อแสดงความสัมพันธ์ระหว่างบุคคลกับข้อมูลอิเล็กทรอนิกส์ โดยมีวัตถุประสงค์เพื่อระบุตัวบุคคล ผู้เป็นเจ้าของลายมือชื่ออิเล็กทรอนิกส์ที่เกี่ยวข้องกับข้อมูลอิเล็กทรอนิกส์นั้น และเพื่อแสดงว่า บุคคลดังกล่าวยอมรับข้อความในข้อมูลอิเล็กทรอนิกส์นั้น
ดังนั้น ในการลงลายมือชื่ออิเล็กทรอนิสก์ ที่กฎหมายรองรับ อย่างน้อยต้อง
(1) ระบุเจ้าของลายมือชื่อได้ว่าเป็นของใคร หมายถึง สิ่งที่นิยามไว้ ไม่ว่าจะเป็น
ตัวอักษร ตัวหนังสือ ตัวเลข หรือ สัญลักษณ์อื่นใด ที่สร้างขึ้นให้อยู่ในรูปแบบอิเล็กทรอนิกส์ ที่สามารถระบุตัวเราได้
(2) ระบุเจตนาของเจ้าของลายมือชื่อต่อข้อความที่ลงนาม เช่นเดียวกับกระดาษ เราคงไม่เซ็นชื่อไว้บนกระดาษเปล่า ๆ โดยไม่รู้ว่าเซ็นเพื่ออะไร ดังนั้นการลงลายมือชื่ออิเล็กทรอนิกส์ ก็ต้องใช้เพื่อประกอบกับข้อความในข้อมูลอิเล็กทรอนิกส์ด้วยเพื่อแสดงว่า เราลงลายมือชื่อด้วยเจตนาอะไร
(3) ใช้วิธีการที่เชื่อถือได้ โดยจะดูจากวิธีการว่ามั่นคงปลอดภัยหรือไม่ มีลักษณะและขนาดเป็นอย่างไร ระบบการสื่อสารรัดกุมแค่ไหน ซึ่งกฎหมายต้องเขียนกว้าง ๆ เพื่อให้รองรับนวัตกรรมที่อาจจะมีการคิดค้นขึ้นมาอีกในอนาคต
ดังนั้นลายมือชื่ออิเล็กทรอนิกส์จึงสามารถเป็นการเซ็นชื่อบน Tablet การพิมพ์ชื่อตอนท้ายของอีเมล การกดปุ่มยอมรับข้อตกลงหรือเงื่อนไขต่าง ๆ การใช้ Username-Password หรืออื่น ๆ ได้ทั้งหมด เพราะกฎหมายไม่ได้จำกัดกรอบหรือประเภทเทคโนโลยีไว้ แต่ได้ให้คุณสมบัติในการพิจารณาเอาไว้ ถ้าครบองค์ประกอบทั้ง 3 ข้อก็ถือเป็นลายมือชื่ออิเล็กทรอนิกส์ได้ และอยู่ภายใต้มาตรา 9 ของ พ.ร.บ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ฯ ซึ่งจำง่าย ๆ เป็นลายมือชื่ออิเล็กทรอนิกส์แบบทั่วไป
ตัวอย่างการแสดงเจตนาของเจ้าของลายมือชื่อ เช่น เมื่อเราใช้บัญชีออนไลน์ของเรา ที่มีการกรอกข้อมูล รวมถึงชื่อ และสร้าง Password เพื่อเข้าใช้งาน นั่นคือสิ่งที่ใช้ระบุตัวเรา และเรานำบัญชีนี้ไปทำธุรกรรมบางอย่างทางออนไลน์ เช่น การทำสัญญาที่มีคำถามว่า "คุณตกลงทำสัญญาตามข้อความข้างต้น หรือไม่" คำถามนี้ จะช่วยยืนยันว่า ได้ลงนามทำสัญญาในฐานะคู่สัญญา เมื่อเรากด "ยอมรับ" หรือ YES
การกด "ยอมรับ" หรือ YES เป็นการเจตนาในการยอมรับการดำเนินการต่อตามที่ข้อความถามมา ควบคู่กับ ระบบที่ต้องมีวิธีการที่เชื่อถือได้ ซึ่งเป็นหน้าที่ของคนออกแบบระบบที่ต้องเก็บข้อมูลได้อย่างครบถ้วน
นอกจากลายมือชื่ออิเล็กทรอนิกส์ ตามมาตรา 9 ของ พ.ร.บ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ฯ ยังมี มาตรา 26 ซึ่งให้ถือว่า ลายมือชื่อที่มีลักษณะดังต่อไปนี้ให้ถือว่าเป็นลายมือชื่ออิเล็กทรอนิกส์ที่เชื่อถือได้
(1) ข้อมูลสำหรับใช้สร้างลายมือชื่ออิเล็กทรอนิกส์นั้น เชื่อมโยงไปยังเจ้าของลายมือชื่อได้
(2) ข้อมูลที่ใช้สร้างลายมือชื่อ อยู่ภายใต้การควบคุมของเจ้าของลายมือชื่อ
(3) สามารถตรวจพบการเปลี่ยนแปลงใด ๆ ที่เกิดแก่ลายมือชื่อ/ข้อความ นับแต่เวลาที่ได้สร้างขึ้น
แล้วอะไรบ้าง คือ ลายมือชื่ออิเล็กทรอนิกส์ที่เชื่อถือได้
ลายมือชื่อดิจิทัล ตัวอย่างหนึ่งของลายมือชื่ออิเล็กทรอนิกส์ตามมาตรา 26
ลายมือชื่อดิจิทัล (Digital Signature) คือ ลายมือชื่อที่ได้จากกระบวนการเข้ารหัสลับ (Encrypt) ซึ่งช่วยให้สามารถยืนยันตัวเจ้าของลายมือชื่อและตรวจพบการเปลี่ยนแปลงของข้อความและลายมือชื่อได้ รวมถึงการทำให้เจ้าของลายมือชื่อไม่สามารถปฏิเสธความรับผิดจากข้อความที่ตนเองได้แสดงเจตนาในการลงลายมือชื่อได้
ดังนั้น ลายมือชื่อดิจิทัล จึงเป็นตัวอย่างหนึ่งของลายมือชื่ออิเล็กทรอนิกส์ตามมาตรา 26 หรือลายมือชื่ออิเล็กทรอนิกส์ที่เชื่อถือได้
หากจะให้เข้าใจง่าย ๆ ก็คือ ลายมือชื่อดิจิทัล คือตัวอย่างหนึ่งของลายมือชื่ออิเล็กทรอนิกส์ ที่เอาการเข้ารหัสหรือเทคโนโลยีมาช่วยตรวจสอบการเปลี่ยนแปลงได้นั่นเอง การใช้ลายมือชื่อดิจิทัล จึงเหมาะสำหรับเอกสารประเภทที่กฎหมายต้องการความรัดกุมและมั่นคงปลอดภัยเพิ่มขึ้น เพื่อคุ้มครองเจ้าของลายมือชื่อและคนที่ต้องเอาลายมือชื่อนี้ไปใช้ต่อ ว่าสามารถเชื่อถือได้
มาตรฐาน e-Signature
ในการเพิ่มความเข้าใจเรื่องการใช้ลายมือชื่ออิเล็กทรอนิกส์ ETDA ได้จัดทำ ข้อเสนอแนะมาตรฐานฯ ว่าด้วยแนวทางการลงลายมือชื่ออิเล็กทรอนิกส์ฯ โดยแบ่งออกเป็น 3 ประเภท คือ
(1) ลายมือชื่ออิเล็กทรอนิกส์ ประเภทที่ 1 ถือเป็นแบบทั่วไป (ตามมาตรา 9 ของ พ.ร.บ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ฯ) ให้ถือว่าลงลายมือชื่อแล้ว ถ้า
- สามารถระบุเจ้าของลายมือชื่อ
- แสดงเจตนาของเจ้าของลายมือชื่อ
- ใช้วิธีการที่เชื่อถือได้ที่ 1) ใช้วิธีการที่มั่นคงและรัดกุม 2) เป็นลักษณะ ประเภท หรือขนาดของธุรกรรมที่ทำ ฯลฯ 3) ความรัดกุมของระบบติดต่อสื่อสาร หรือใช้วิธีการอื่นใดหรือเอามาประกอบกับพยานหลักฐานเพื่อระบุเจ้าของลายมือชื่อ และแสดงเจตนาของเจ้าของลายมือชื่อ
(2) ลายมือชื่ออิเล็กทรอนิกส์ ประเภทที่ 2 ที่ให้บริการกันในกลุ่ม (ตามมาตรา 26 ของ พ.ร.บ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ฯ) ให้ถือว่าเป็นลายมือชื่อที่เชื่อถือได้ ตัวอย่างหนึ่งของลายมือชื่อประเภทนี้ คือ ลายมือชื่อดิจิทัล ที่ให้บริการกันในกลุ่ม นั่นเอง โดย
- เข้ารหัสลับ (Encrypt) ที่สามารถตรวจสอบการเปลี่ยนแปลงของลายมือชื่อและข้อความอิเล็กทรอนิกส์ได้
- ขณะลงนาม เจ้าของข้อมูลเป็นผู้ควบคุมการลงนามของตัวเอง โดยไม่โดนคนอื่นมาสวมรอยหรือบังคับให้ทำ
(3) ลายมือชื่ออิเล็กทรอนิกส์ ประเภทที่ 3 ที่ให้บริการโดยผู้ให้บริการออกใบรับรอง (ตามมาตรา 26 ของ พ.ร.บ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ฯ) คือการใช้ลายมือชื่อ ประเภทที่ 2 และอาศัยใบรับรองที่ออกโดยผู้ให้บริการออกใบรับรอง เพื่อสนับสนุนลายมือชื่ออิเล็กทรอนิกส ตามที่กำหนดในมาตรา 28 ของ พ.ร.บ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ฯ) ดังนั้นจึงสามารถตรวจสอบความเปลี่ยนแปลงนี้ได้โดยมีผู้ให้บริการเป็นตัวกลาง ตัวอย่างหนึ่งของลายมือชื่อประเภทนี้ คือ ลายมือชื่อดิจิทัล ที่ให้บริการโดยผู้ให้บริการออกใบรับรอง นั่นเอง โดย
- เข้ารหัสลับ (Encrypt) ที่สามารถตรวจสอบการเปลี่ยนแปลงของลายมือชื่อและข้อความอิเล็กทรอนิกส์ได้
- ขณะลงนาม เจ้าของข้อมูลเป็นผู้ควบคุมการลงนามของตัวเอง โดยไม่โดนคนอื่นมาสวมรอยหรือบังคับให้ทำ
- มีตัวกลางเป็นผู้ให้บริการออกใบรับรอง
ความแตกต่างของลายมือชื่ออิเล็กทรอนิกส์ ประเภทที่ 2 และ 3 คือ ประเภทที่ 2 คนในกลุ่มเลือกวิธีการลงลายมือชื่อมาพิจารณาว่า มีคุณสมบัติครบตามกฎหมายที่กำหนดไหม ถ้ามีคุณสมบัติครบถ้วนก็สามารถนำมาใช้กันในกลุ่มได้เลย เหมือนเวลาเราตกลงกันว่าเราจะใช้ลายมือชื่อรูปแบบนี้นะ แล้วก็ยอมรับกันใช้ภายในกลุ่ม
ส่วน ประเภทที่ 3 คือการหาคนกลางที่ได้รับการรับรองมาแล้ว มาเป็นคนช่วยดูลายมือชื่อให้ว่าการลงลายมือชื่อนี้เป็นของเจ้าของแน่ ๆ และสามารถบอกได้ด้วยว่าลงลายมือชื่อไปตอนไหน ซึ่งหากเป็นการใช้ ลายมือชื่อดิจิทัล สามารถขอรับบริการของบริษัทไทยดิจิทัล ไอดี หรือ บริษัทอินเตอร์เน็ตประเทศไทย ซึ่งได้รับการรับรองจาก ผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์แห่งชาติ (NATIONAL ROOT CERTIFICATION AUTHORITY OF THAILAND) หรือ NRCA (ดูรายละเอียด ที่นี่)
สรุปก็คือ ลายมือชื่ออิเล็กทรอนิกส์ ประเภทที่ 2 และ 3 ต่างกันที่ประเภทที่ 2 เราจะตกลงลายมือชื่อกันในกลุ่มและใช้เทคโนโลยียืนยันว่าลายมือชื่อของเราไม่มีการเปลี่ยนแปลง ส่วนประเภทที่ 3 เราจะมีคนกลางที่ได้ใบรับรองเป็นคนยืนยันตัวให้ว่าการลงชื่อของเรานั้นคือเรา มีคุณสมบัติครบถ้วน และไม่มีการเปลี่ยนแปลงที่ผิดไปจากเจตนาของเรา ซึ่งตัวอย่างหนึ่งของลายมือชื่อทั้ง 2 ประเภทนี้ คือ ลายมือชื่อดิจิทัลนั่นเอง
ตอนนี้ เราก็รู้แล้วว่า ลายมือชื่อดิจิทัล คือ รูปแบบหนึ่งของลายมือชื่ออิเล็กทรอนิกส์ นั่นเอง หากต้องการทำความเข้าใจเกี่ยวกับผลทางกฎหมายและรายละเอียดของลายมือชื่ออิเล็กทรอนิกส์เพิ่มเติม สามารถดูต่อได้ ที่นี่
ลายมือชื่อดิจิทัล ตัวอย่างหนึ่งของลายมือชื่ออิเล็กทรอนิกส์ตามมาตรา 26